什么是挖礦劫持？怎樣預防、檢測和恢復

Michael Nadeau

犯罪分子借助類似于勒索軟件的策略以及有毒的網站，讓企業員工的計算機去挖掘加密貨幣。本文介紹企業應如何去阻止此類劫持。

挖礦劫持是指未經授權地使用他人的計算機來挖掘加密貨幣。黑客要做到這一點，通常是讓受害者點擊電子郵件中的惡意鏈接，把加密貨幣挖礦代碼加載到計算機上，或者通過JavaScript代碼感染網站和在線廣告，這些代碼一旦加載到受害者瀏覽器上就會自動執行。

無論哪種方式，加密貨幣挖掘代碼在后臺工作，毫不知情的受害者還是和平常一樣使用他們的計算機。他們可能注意到的唯一跡象是性能下降，或者執行速度變慢了。

為什么挖礦劫持越來越多

沒有人確切知道通過挖礦劫持挖出了多少加密貨幣，但毫無疑問，這種做法十分猖獗。基于瀏覽器的挖礦劫持發展非常快。去年十一月，Adguard報告了嵌入在瀏覽器內的挖礦劫持增長率為31%。其研究發現，3.3萬個網站運行了加密貨幣挖礦腳本。Adguard估計，這些網站每月有10億人次的訪問量。今年二月，Bad Packet報告發現了34474個運行Coinhive的網站，這是最流行的JavaScript挖礦程序，也用于合法的加密貨幣挖礦活動。

網絡安全解決方案提供商WatchGuard技術公司的威脅分析師Marc Laliberte評論說：“加密貨幣挖礦還處于起步階段。還有很大的增長和發展空間。”他指出，Coinhive很容易部署，第一個月就產生了30萬美元的收益。“從那以后，它發展得很快。真得很容易賺錢。”

今年一月份，研究人員發現了Smominru加密貨幣挖礦僵尸網絡，它感染了50多萬臺機器，主要分布在俄羅斯、印度和中國臺灣。僵尸網絡針對Windows服務器來挖掘門羅幣（Monero），而網絡安全公司Proofpoint估計，截至一月底，它創造的價值高達360萬美元。

挖礦劫持甚至不需要高超的技術技能。據來自Digital Shadows公司的《欺詐的新前沿——加密貨幣淘金熱》報告，暗網上提供的挖礦劫持套件只需30美元。

挖礦劫持越來越受黑客歡迎的一個簡單原因就是風險很低，而收益不錯。SecBI公司的首席技術官兼聯合創始人Alex Vaystikh指出：“黑客們認為挖礦劫持是比勒索軟件更便宜、更有利可圖的替代方案。”他解釋說，使用勒索軟件，一名黑客每感染100臺計算機，就需要給三個人付費。而采用挖礦劫持惡意軟件，所有被感染的100臺機器都為黑客工作，去挖掘加密貨幣。他說：“黑客的收益可能和這三個勒索軟件黑客的收益一樣，而加密貨幣挖礦程序會不斷地產生收益。”

被抓住和被發現的風險也遠遠低于使用勒索軟件。加密貨幣挖礦代碼偷偷摸摸地運行，在很長一段時間內都有可能不被發現。即使被發現，很難追溯到源頭，受害者也沒有什么動機去這樣做，因為什么東西也沒有丟，也沒有什么被加密。相對于非常流行的比特幣，黑客們更喜歡使用門羅幣和Zcash這些匿名的加密貨幣，因為很難追蹤到他們的非法活動。

挖礦劫持惡意軟件是怎樣工作的

黑客主要有兩種方法來讓受害者的計算機暗中挖掘加密貨幣。一種是欺騙受害者把加密貨幣挖礦代碼加載到他們的計算機上。這是通過類似于網絡釣魚的策略來完成的：受害者收到一封看似合法的電子郵件，誘騙他們點擊鏈接。該鏈接運行代碼后，把加密貨幣挖礦腳本置入到計算機中。當受害者工作時，腳本會在后臺運行。

另一種方法是在網站或者廣告上注入一個腳本，并將其傳播到多個網站上。一旦受害者訪問網站，或者被感染的廣告在其瀏覽器上彈出來，腳本就會自動執行。受害者的計算機上沒有存儲任何代碼。無論使用哪種方法，代碼都會在受害者的計算機上運行復雜的數學問題，并把結果發送給黑客控制的服務器。

黑客通常同時使用這兩種方法來盡可能增加收益。Vaystikh介紹說：“進行攻擊時，他們還使用老的惡意軟件欺騙技巧把更可靠和更持久的軟件傳播給受害者的計算機，把這種方法作為備用手段。”例如，在為黑客挖掘加密貨幣的100臺設備中，10%可能從受害者機器上的代碼產生收益，而90%則通過他們的網絡瀏覽器產生收益。

與大多數其他類型的惡意軟件不同，挖礦劫持腳本不會損害計算機或者受害者的數據。但他們確實竊取了CPU的處理資源。對于個人用戶來說，計算機性能下降只是覺得有些煩人而已。被安裝了很多挖礦劫持系統的企業有可能在幫助解決問題方面付出很高的成本，IT部門要花時間來跟蹤性能問題，替換組件或者系統以解決問題。

挖礦劫持實例

挖礦劫持黑客是很聰明的，他們設計出了很多方案來讓其他人的計算機去挖掘加密貨幣。大多數并不是什么新東西；加密貨幣挖礦傳播方法通常來源于勒索軟件和廣告軟件等其他類型的惡意軟件所使用的方法。Anomali公司安全策略總監Travis Farral指出：“你會看到惡意軟件作者過去干的很多傳統的事情。他們并沒有傳播勒索軟件或者特洛伊木馬，而是重新設計，以傳播加密貨幣挖礦模塊或者組件。”

以下是一些真實的例子：

流氓員工控制了公司系統

在今年早些時候的EmTech數字會議上，Darktrace講述了一家歐洲銀行客戶的故事，該銀行的服務器上出現了一些不尋常的流量模式。進程在夜間運行得非常緩慢，而銀行的診斷工具沒有發現任何問題。Darktrace發現，有新服務器在那段時間上網——而銀行稱并不存在這些服務器。對數據中心進行物理檢查顯示，一名流氓員工在地板下面偷偷建立了加密貨幣挖礦系統。

通過GitHub服務于加密貨幣挖礦黑客

三月份，Avast軟件公司報告說，挖礦劫持黑客使用GitHub作為加密貨幣挖礦惡意軟件的主機。他們找到合法的項目，從中創建一個分叉的項目。然后，惡意軟件隱藏在該分叉項目的目錄結構中。使用網絡釣魚方法，挖礦劫持黑客誘使人們下載惡意軟件，例如，提醒更新他們的Flash播放器，或者承諾提供有成人游戲的網站。

利用rTorrent漏洞

挖礦劫持黑客發現了一個rTorrent錯誤配置漏洞，使得不需要進行XML-RPC通信認證就能夠訪問一些rTorrent客戶端。他們掃描互聯網上暴露的客戶端，然后在這些客戶端上部署門羅幣挖礦惡意軟件。F5網絡公司在二月份報告了這個漏洞，并建議rTorrent用戶確保他們的客戶端不接受外部連接。

Facexworm：惡意Chrome擴展程序

這一惡意軟件最初是由卡巴斯基實驗室在2017年發現的，是一個谷歌Chrome瀏覽器擴展程序，使用臉書Messenger來感染用戶的計算機。Facexworm一開始只是傳播廣告軟件。今年早些時候，趨勢科技發現了以加密貨幣交易為目標的各種Facexworm，并能傳播加密貨幣挖礦代碼。它仍然使用受感染的臉書賬戶來傳播惡意鏈接，但也可以竊取網絡帳戶和證書，這使其能夠把挖礦劫持代碼注入到這些網頁中。

WinstarNssmMiner：焦土政策

5月份，360 Total Security發現了一個傳播非常快的加密貨幣挖礦惡意軟件，挖礦劫持黑客使用起來非常有效。這款惡意軟件被稱為WinstarNssmMiner，如果誰想刪掉它，就會遇到惱人的意外：受害者的計算機會死機。WinstarNssmMiner之所以能夠這樣，是首先啟動svchost.exe進程并向其中注入代碼，然后把衍生進程的屬性設置為CriticalProcess。由于計算機將其視為一個關鍵進程，因此，一旦進程被刪除，計算機就會死機。

怎樣防止挖礦劫持

遵循以下步驟，企業可以最大限度地減小被挖礦劫持的風險：

要有被挖礦劫持威脅的安全意識培訓，重點是針對網絡釣魚式地把腳本加載到用戶的計算機上。Laliberte說：“當技術解決方案有可能失敗時，培訓將有助于保護您。”他認為網絡釣魚將繼續是傳播各類惡意軟件的主要方法。

員工培訓對于訪問合法網站導致的自動執行挖礦劫持惡意軟件幫助不大。Vaystikh說：“由于無法告訴用戶不能訪問哪些網站，因此，挖礦劫持培訓的效果不大。”

在網絡瀏覽器上安裝廣告攔截或者反加密貨幣挖礦擴展程序。由于挖礦劫持腳本通常通過網絡廣告傳播，因此，安裝廣告攔截器可以有效地阻止它們。一些廣告攔截器，比如Ad Blocker Plus，具有檢測加密貨幣挖礦腳本的能力。Laliberte建議采用No Coin和MinerBlock這樣的擴展程序，這些被設計用來檢測并攔截挖礦劫持腳本。

使用能夠檢測已知加密貨幣挖礦惡意軟件的端點保護功能。很多端點保護/防病毒軟件供應商已經在產品中加入了加密貨幣挖礦惡意軟件監測功能。Farral說：“防病毒是對端點進行保護以阻止加密貨幣挖掘的一種好方法。如果是已知的，很有可能會被檢測到。”他補充說，要清醒地知道，加密貨幣挖礦惡意軟件作者會不斷改變他們的技術，以避免在端點被檢測到。

保持企業的網絡過濾工具最新。如果發現有網頁正在傳播挖礦劫持腳本，讓用戶一定不要再訪問它。

維護好瀏覽器擴展程序。一些攻擊者使用惡意瀏覽器擴展程序或者有毒的合法擴展程序來執行加密貨幣挖礦腳本。

使用移動設備管理（MDM）解決方案來更好地控制用戶設備上的內容。但是，自帶設備（BYOD）政策對防止非法加密貨幣挖礦構成了挑戰。Laliberte說：“MDM可以很好地保護BYOD的安全。”MDM解決方案可以幫助管理用戶設備上的應用程序和擴展程序。MDM解決方案更適用于大企業，小企業往往負擔不起。然而，Laliberte指出，移動設備不像桌面計算機和服務器面臨那么大的風險。因為移動設備的處理能力較弱，因此，它們對黑客來說并不是很賺錢。

怎樣檢測挖礦劫持惡意軟件

像勒索軟件一樣，盡管企業盡了最大努力去阻止它，挖礦劫持惡意軟件還是會影響你的企業。可能很難檢測到它，特別是如果只有少數系統被感染的情況。不要指望現有的端點保護工具來阻止挖礦劫持惡意軟件。Laliberte說：“基于簽名的檢測工具發現不了加密貨幣挖礦代碼。桌面防病毒工具也看不到它們。”以下是可行的方法：

訓練企業的幫助臺以尋找加密貨幣挖礦的跡象。SecBI公司的Vaystikh說，有時第一個跡象是幫助臺不斷地抱怨計算機性能下降。這就應該警醒起來，進一步開展調查。

Laliberte說，幫助臺應該注意的其他信號則是系統過熱，這可能會導致CPU和散熱風扇出現故障。他說：“CPU使用過度產生的熱量會導致設備損壞，縮短了設備的生命周期。”尤其是像平板電腦和智能手機這樣比較弱的移動設備。

部署網絡監測解決方案。Vaystikh認為，在企業網絡中，比在家里更容易發現挖礦劫持惡意軟件，因為大多數消費者終端解決方案都檢測不到它。通過網絡監控解決方案很容易檢測到挖礦劫持惡意軟件，大多數企業組織都有網絡監控工具。

然而，擁有網絡監測工具和數據的企業卻很少擁有分析這類信息以準確進行檢測的工具和能力。例如，SecBI開發了一種人工智能解決方案來分析網絡數據并檢測挖礦劫持惡意軟件和其他具體的威脅。

Laliberte也認為網絡監測是發現加密貨幣挖礦活動的最佳選擇。他說：“通過監視網絡周界來檢查所有的網絡流量，這樣能夠更好地發現加密貨幣挖礦惡意軟件。”很多監測解決方案能夠把這類活動追蹤到具體用戶，從而可以發現哪些設備受到了影響。

Farral說：“如果你在一臺服務器上很好地設置了出口過濾，監視出站連接來自哪里，這就能夠比較好地檢測到加密貨幣挖礦惡意軟件。”然而，他警告說，加密貨幣挖礦惡意軟件作者能夠編寫他們的惡意軟件來避開這種探測方法。

監測你自己的網站是否有加密貨幣挖礦代碼。Farral警告說，挖礦劫持黑客正在尋找方法把JavaScript代碼放到網絡服務器上。他說：“服務器本身不是目標，但任何訪問該網站的人都有被感染的風險。”他建議經常性地檢查網絡服務器上的文件變化，或者對頁面本身的更改。

密切注意挖礦劫持的趨勢。傳播方法和加密貨幣挖礦代碼本身都在不斷地發展。Farral說，了解軟件和行為可以幫助您發現挖礦劫持惡意軟件。他說：“聰明的企業會時刻關注正在發生的事情。如果你了解這類傳播機制，就知道某個特定的漏洞利用工具包正在傳播加密貨幣挖礦惡意軟件。對漏洞利用工具包的保護也就保護了不受加密貨幣挖礦惡意軟件的感染。”

怎樣應對挖礦劫持攻擊

殺死并阻止網站傳播的腳本。對于瀏覽器內的JavaScript攻擊，一旦探測到加密貨幣挖礦行為，解決方案就很簡單：殺死運行腳本的瀏覽器標簽。IT部門應該注意腳本源代碼的網站URL，并更新公司的網絡過濾器來攔截它。考慮部署反加密貨幣挖礦工具來幫助防止今后的攻擊。

更新并清除瀏覽器擴展程序。Laliberte說：“如果擴展程序感染了瀏覽器，即使關閉標簽也無濟于事。更新所有的擴展程序并刪除那些不需要的或者已經被感染的。”

學習和適應。利用經驗來更好地了解攻擊者是怎樣危害你的系統的。更新你的用戶、幫助臺和IT的培訓，這樣，他們能夠更好地發現挖礦劫持企圖并作出相應的反應。

Michael Nadeau是CSO在線的高級編輯。他是雜志、書籍和知識庫出版商和編輯，幫助企業充分發揮其ERP系統的優勢。

原文網址

https：//www.csoonline.com/article/3253572/internet/what-is-cryptojacking-how-to-prevent-detect-and-recover-from-it.html